Vào tháng Giêng, một người dùng tiền điện tử đã mất 12,25 triệu đô la vì sao chép nhầm địa chỉ ví. Vào tháng Mười Hai, một người khác cũng mất 50 triệu đô la theo cách tương tự.
Theo Scam Sniffer, một giải pháp bảo mật Web3 phổ biến, hai vụ việc này đã gây thiệt hại tổng cộng 62 triệu đô la.
Những sai lầm trong tiền điện tử
Các cuộc tấn công lừa đảo dựa trên chữ ký cũng gia tăng mạnh trong tháng Giêng. Trên thực tế, Scam Sniffer phát hiện ra rằng 6,27 triệu đô la đã bị đánh cắp từ 4.741 nạn nhân, tăng 207% so với tháng 12. Các vụ việc lớn nhất liên quan đến 3,02 triệu đô la từ SLVon và XAUt thông qua permit/increaseAllowance, và 1,08 triệu đô la từ aEthLBTC thông qua permit.
Chỉ riêng hai ví điện tử đã chiếm tới 65% tổng số thiệt hại do lừa đảo trực tuyến gây ra.
Tấn công giả mạo địa chỉ ví là một hình thức lừa đảo, trong đó kẻ tấn công gửi các giao dịch nhỏ từ các địa chỉ ví rất giống với địa chỉ thật, với hy vọng người dùng sao chép nhầm địa chỉ từ lịch sử giao dịch của họ. Điều này có thể dẫn đến việc tiền bị chuyển trực tiếp vào tay kẻ lừa đảo một cách nhầm lẫn. Tấn công giả mạo chữ ký còn làm tăng thêm rủi ro bằng cách lừa người dùng ký vào các văn bản chấp thuận độc hại, cho phép kẻ tấn công chuyển tiền sau này. Do đó, các chiến thuật này dựa vào kỹ thuật thao túng tâm lý và sai sót của con người, và có thể khiến ngay cả người dùng có kinh nghiệm cũng dễ bị tổn thương.
Tháng 11 năm ngoái, một holder tiền điện tử đã mất hơn 3 triệu đô la Mỹ giá trị token $PYTH sau khi vô tình gửi tiền vào ví của kẻ lừa đảo. Lỗi xảy ra khi nạn nhân sao chép địa chỉ gửi tiền giả mạo từ lịch sử giao dịch của mình.
Các nhà phân tích blockchain tại Lookonchain cho biết kẻ tấn công đã tạo ra một địa chỉ giả mạo trùng khớp với bốn ký tự đầu tiên của ví thật và gửi một giao dịch SOL nhỏ để trông có vẻ hợp pháp. Nạn nhân sau đó đã chuyển 7 triệu token $PYTH mà không xác minh đầy đủ địa chỉ và trở thành nạn nhân của một cuộc tấn công làm giả địa chỉ. Số tiền được chuyển có giá trị khoảng 3,08 triệu đô la vào thời điểm đó.
Âm mưu lừa đảo đa chữ ký phối hợp
Trước tình trạng các cuộc tấn công như vậy ngày càng gia tăng, ví điện tử Non-Custodial Safe (trước đây là Gnosis Safe) cũng đã đưa ra cảnh báo cho người dùng về một chiến dịch đánh cắp địa chỉ và tấn công lừa đảo quy mô lớn nhắm vào ví đa chữ ký. Theo nền tảng này, những kẻ tấn công đã tạo ra hàng nghìn địa chỉ Safe giả mạo để lừa người dùng gửi tiền đến sai địa chỉ. Họ cho biết sự việc không phải là khai thác giao thức, vi phạm cơ sở hạ tầng hay lỗ hổng hợp đồng thông minh.
Safe đã xác định được khoảng 5.000 địa chỉ độc hại, hiện đã được gắn cờ và xóa khỏi giao diện Ví Safe để giảm nguy cơ chuyển tiền nhầm lẫn.
